CVE-2024-28026

MC LR Router versão 2.10.5

O problema está relacionado a vulnerabilidades de injeção de comando no sistema operacional na funcionalidade de configuração de E/S da interface web. Uma solicitação HTTP especialmente criada pode levar à execução arbitrária de comandos. Um invasor pode fazer uma solicitação HTTP autenticada para acionar essas vulnerabilidades, especificamente por meio do parâmetro out1 controlado pelo invasor. A vulnerabilidade ocorre no código onde o parâmetro out1 é usado para construir um comando que é executado pela função system().

Para o MC LR Router versão 2.10.5, considere desativar o parâmetro out1 na funcionalidade de configuração de E/S da interface web como uma solução temporária até que um patch esteja disponível. Restrinja o acesso à interface web vulnerável para minimizar o risco de exploração. Evite usar o parâmetro out1 em solicitações HTTP autenticadas até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.